星期六, 十一月 04, 2006

Web2.0及AJAX的网络安全考虑

Web2.0及AJAX是目前网络届的一大热点,也被应用于不少地图网站(如Google Maps)。但是我们应该注意到Web2.0及AJAX可能存在的一些安全隐患,因此需合理规划设计网络程序以避免黑客乘虚而入。网络安全专家Shreeraj Shah在最近的一篇文章里提到Web2.0面临的十大网络攻击形式(Top 10 Web 2.0 Attack Vectors):
1.利用AJAX运行跨网站恶意程序(Cross-site scripting in AJAX)
2.发送垃圾/恶意XML信息使服务器瘫痪(XML poisoning)
3.悄悄运行恶意AJAX程序获取隐私信息(Malicious AJAX code execution)
4.在RSS/ATOM插入恶意程序(RSS / Atom injection)
5.扫描网络服务定义查找其安全漏洞(WSDL scanning and enumeration)
6.绕过客户端的信息验证插入恶意程序(Client side validation in AJAX routines)
7.利用网络服务路由节点安全漏洞获取信息(Web services routing issues)
8.在SOAP参数插入恶意程序(Parameter manipulation with SOAP)
9.在SOAP插入XPATH语言访问数据库(XPATH injection in SOAP message)
10.在用户界面代码(Flash,ActiveX Controls, Applets等)上附加恶意程序(RIA thick client binary manipulation)

原文

0 条评论: